Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Avowasp Csi23

    Cargado por

    Christian Agreda Romero
    4 vistas35 páginas

    Título original

    AVOWASP-CSI23

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    4 vistas35 páginas

    Avowasp Csi23

    Cargado por

    Christian Agreda Romero

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 35

    Análisis de

    vulnerabilidades web
    con OWASP
    Gabriela García
    Líder OWASP Capítulo Ciudad de México
    06 de octubre, 2023

    ®
    OWASP FOUNDATION
    Agenda

    1. ¿Qué es OWASP?
    2. OWASP Projects.
    3. Conceptos básicos.
    4. Laboratorio.

    OWASP FOUNDATION owasp.org 2


    1. ¿Qué es?
    OWASP
    ✓ Open Worldwide Application Security Project.
    ✓ Fundación sin fines de lucro cuyo objetivo es mejorar la
    seguridad del software. Arrancó el 1ro de Diciembre, 2001.
    ✓ ¿Cómo?
    ❑ Mediante sus proyectos de software de código abierto lidereados
    por su comunidad,
    ❑ sus miembros,
    ❑ sus Capítulos y eventos locales e internacionales.
    ✓ Todos los Proyectos, Documentos, Herramientas, Foros Y
    Capítulos son gratuitos y abiertos a todo interesado en
    fortalecer la seguridad de aplicaciones.

    OWASP FOUNDATION owasp.org 3


    1. ¿Qué es?
    OWASP Capítulos
    ✓ Los Capítulos locales buscan conformar
    comunidad de profesionales de
    seguridad informática en todo el mundo.
    ✓ Dirigidos por líderes locales conforme a
    políticas bien establecidas – Política de
    los capítulos.
    ✓ Desarrollan y educan a través de eventos
    y reuniones alrededor del mundo.
    ✓ Existe alrededor de 300 Capítulos.
    ✓ En México hay 4: Aguascalientes, Ciudad
    de México, Querétaro y Rivera Maya.

    OWASP FOUNDATION owasp.org 4


    1. ¿Qué es?
    OWASP Projects
    • Los OWASP projects son proyectos de código abierto y construidos por
    miembros de la comunidad de voluntarios.
    • Existen proyectos de herramientas (Code Projects) y de documentación
    (Documentation Projects).
    • Actualmente, ¡el inventario tiene 302 proyectos!
    • Para mayor detalle de todos los OWASP projects, visitar
    https://owasp.org/projects/

    OWASP FOUNDATION owasp.org 5


    2. OWASP Projects
    OWASP Projects relacionados
    Proyectos de herramientas.
    ✓ Dependency check.
    ✓ Juice Shop.
    Proyectos de documentación.
    ✓ Web Security Testing Guide (465pp) – Enlace.
    Guía de cómo aplicar la Metodología de Revisión de OWASP. Basado en el
    enfoque de caja negra. Lista de pruebas de seguridad – método de
    http://www.quickmeme.com/

    evaluación de la seguridad mediante la validación y verificación


    metodológica de los controles de seguridad. Incluye reporte de hallazgos.
    ✓ Application Security Verification Standard (74 pp). – Enlace.
    Marco de requisitos y controles de seguridad requeridos al diseñar,
    desarrollar y probar aplicaciones web y servicios web modernos. Define
    tres niveles de verificación de seguridad. Verificable y revisable.

    OWASP FOUNDATION owasp.org 6


    2. OWASP Projects
    Más OWASP Projects relacionados
    ✓ Automated Threats to Web Applications (80pp) – Enlace.
    Estándar de facto de la industria de detección y mitigación de amenazas automatizadas
    web (Escaner de vulnerabilidades).
    ✓ OWASP Top 10:2021 (aprox. 25pp, 2017) – Enlace.
    Lista los 10 principales riesgos de seguridad en aplicaciones web. Abarca las
    vulnerabilidades más comunes asociadas a los riesgos, medidas de prevención,
    escenarios de ataque de ejemplo, referencias. Principalmente para concientización.
    ✓ OWASP API Security Top 10:2023 (aprox. 31pp, 2019) – Enlace.
    Application Programming Interface (API). Estructura similar al OWASP Top 10. ¿Cómo
    saber si el API es vulnerable al riesgo?. Principalmente para concientización.

    OWASP FOUNDATION owasp.org 7


    2. OWASP Projects
    Más OWASP Projects relacionados
    ✓ OWASP Top 10 Privacy Risks:2021 – Enlace.
    Enfocado a riesgos de privacidad en aplicaciones web y sus controles. Provee
    información de como implementar privacidad por diseño. ¿Como revisar si la
    aplicación web es susceptible al riesgo?
    ✓ OWASP Top 10 Proactive Controls:2018 (40pp) – Enlace.
    Describe el top 10 de controles de seguridad que los desarrolladores deben
    incluir al desarrollar. Incluye descripción, mejores practices de implementación
    y las vulnerabilidades prevenidas.
    ✓ Y más.

    OWASP FOUNDATION owasp.org 8


    2. OWASP Projects
    Otros OWASP Projects

    https://cdn.acidcow.com/pics/20181231/tired_memes_27.jpg
    OWASP FOUNDATION owasp.org 9
    5 minutos

    ®
    OWASP FOUNDATION
    3. Conceptos básicos
    Pan de cada día de OWASP
    Vulnerabilidades:
    ❑En aplicaciones web.
    ❑En servicios web.

    http://www.quickmeme.com/meme/3tspp0
    ❑En APIs.
    ❑En dispositivos móviles.
    ❑En firmware.
    ❑eeeeetc.

    OWASP FOUNDATION owasp.org 11


    3. Conceptos básicos
    Vulnerabilidad
    ❖Falla, debilidad, flag (bandera).
    ❖¿Dónde puede haber vulnerabilidades? En el
    diseño de un sistema, en su implementación,
    en su operación o en su administración.*
    ❖¿Qué se puede hacer con ella? Explotarla para
    comprometer los objetivos de seguridad del
    sistema.*

    * Fuente: Web Security Testing Guide v4.2

    OWASP FOUNDATION owasp.org 12


    3. Conceptos básicos
    Análisis de vulnerabilidades
    ❖ Es la identificación y validación de vulnerabilidades*.
    ❖ Se emplea para identificar y evaluar los riegos de
    seguridad que pudiera haber debido a las
    vulnerabilidades identificadas*.
    Ejemplos de vulnerabilidades.
    ❑ Formulario sin captcha.
    ❑ Manejo inapropiado de errores.
    ❑ Validación inapropiada de datos de entrada en un
    input.
    Lista de vulnerabilidades publicadas en OWASP:
    https://owasp.org/www-community/vulnerabilities/ * Fuente: Penetration Testing Execution Standard (PTES

    OWASP FOUNDATION owasp.org 13


    3. Conceptos básicos
    ¿Cómo hacer un AVW?
    Identificación.
    ❖ Herramientas automatizadas que buscan e identifican
    componentes, codificaciones vulnerables conocidas.
    ❖ De forma manual.
    ❖ Mediante pruebas de seguridad - Método de evaluación de la
    seguridad mediante la validación y verificación
    metodológica de los controles de seguridad*.
    Validación.
    ❖ Para reducir las vulnerabilidades identificadas a solo las
    válidas.
    ❖ Verificando que la vulnerabilidad es explotable. * Fuente: OWASP Web Security Testing Guide.

    OWASP FOUNDATION owasp.org 14


    3. Conceptos básicos
    Análisis vs Gestión de vulnerabilidades

    ✓ Análisis también puede encontrarse


    como: evaluación, valoración (Analysis,
    https://butterflylabs.com/wp-content/uploads/2019/07/report.jpg

    asessment).
    ✓ La gestión (management) de
    vulnerabilidades implica detección,
    reporteo, remediación de
    vulnerabilidades y mejora continua.*
    ▪ OWASP Vulnerability Management Guide –
    Enlace.

    * Fuente: OWASP Vulnerability Management Guide (OVMG) (2020)

    OWASP FOUNDATION owasp.org 15


    3. Conceptos básicos
    Análisis de vuln vs Pentesting
    ❑ Pruebas de penetración o Pentesting son pruebas
    de seguridad donde el evaluador imita ataques
    informáticos reales sobre una aplicación, sistema o
    red, para identificar formas de atentar contra los
    objetivos de seguridad del mismo*.
    ❑ Se busca explotar vulnerabilidades para
    comprometer la aplicación, sus datos o sus
    recursos.
    ❑ El análisis de vulnerabilidades forma parte del
    Pentesting.
    ❑ Existen diversas metodologías de Pentestings.
    * Fuente: https://csrc.nist.gov/glossary/term/penetration_testing

    OWASP FOUNDATION owasp.org 16


    4. Laboratorios
    Importante: Contar con NodeJS 20.5 o superior y
    Docker Desktop 4.22 o superior, instalados.

    ®
    OWASP FOUNDATION
    4. Laboratoris
    Juice Shop
    ✓ Aplicación web intencionalmente vulnerable.
    ✓ Es lo opuesto a las “mejores prácticas” de seguridad para
    los desarrolladores web.
    ✓ Más de 105 retos, diferentes niveles de dificultad.
    ✓ Puede usarse como target de herramientas de seguridad,
    para CTFs.
    ✓ Abarca diversos riesgos o tipos de vulnerabilidades*.
    ✓ Documento detallado en formato PDF (422pp) u online –
    Enlace.
    OWASP FOUNDATION owasp.org 18
    4. Laboratorios
    L1: Juice Shop - Instalación
    Instalación
    con Node.js

    OWASP FOUNDATION owasp.org 19


    4. Laboratorios
    L1: Juice Shop - Instalación
    Instalación con Node.js

    OWASP FOUNDATION owasp.org 20


    4. Laboratorios
    L1: Juice Shop - Instalación
    Instalación con Node.js

    https://github.com/juice-shop/juice-shop/releases/tag/v15.2.1

    OWASP FOUNDATION owasp.org 21


    4. Laboratorios
    L1: OWASP Juice Shop - Instalación

    OWASP FOUNDATION owasp.org 22


    4. Laboratorios
    L1: OWASP Juice Shop - Instalación
    Recomendación:
    Emplear Chrome
    para abrir JS.

    OWASP FOUNDATION owasp.org 23


    4. Laboratorios
    L1: OWASP Juice Shop - Instalación
    Instalación con Docker Desktop

    OWASP FOUNDATION owasp.org 24


    4. Laboratorios
    L1: OWASP Juice Shop - Instalación
    Instalación con
    Docker Desktop

    OWASP FOUNDATION owasp.org 25


    4. Laboratorios
    L1: OWASP Juice Shop - Instalación
    Instalación con Docker Desktop

    OWASP FOUNDATION owasp.org 26


    4. Laboratorios
    L1: OWASP Juice Shop - Instalación
    Recomendación:
    Emplear Chrome
    para abrir JS.

    OWASP FOUNDATION owasp.org 27


    4. Laboratorios
    L1: OWASP Juice Shop

    Primero, a navegar para conocer el objetivo.


    ¿Qué herramienta de tu navegador crees que podría ayudarte a
    observar más detalladamente la página?
    ¿Identificas elementos posiblemente vulnerables?

    OWASP FOUNDATION owasp.org 28


    4. Laboratoris
    Dependecy check
    ➢ Analizador de código abierto cuyo objetivo es detectar
    componentes o dependencias que tengan vulnerabilidades
    divulgadas públicamente.
    ➢ ¿Cómo lo hace?
    ➢ Determina si existe un identificadores único y estándar (CPE)
    asociado a cada una de las dependencias encontradas.
    ➢ Si los encuentra, lista las vulnerabilidades puntuales (CVEs) de dicho
    CPE.

    OWASP FOUNDATION owasp.org 29


    4. Laboratoris
    Dependecy check
    • Algunos de los analizadores y métodos de análisis que incluye.

    • Lista completa disponible en:


    https://jeremylong.github.io/DependencyCheck/analyzers/index.html

    OWASP FOUNDATION owasp.org 30


    4. Laboratoris
    L2: Dependency Check
    Instalación del Comman Line Interface (CLI) en Windows

    • Descargar el zip y descomprimir:


    https://owasp.org/www-project-dependency-check/
    • Ir al directorio por línea de comando.

    OWASP FOUNDATION owasp.org 31


    4. Laboratoris
    L2: Dependency Check
    Ejecución
    Importante: Es obligatoria la conexión a internet.
    Target: https://github.com/OWASP/Nettacker/
    bin>dependency-check.bat -f HTML -f JSON --project “Prueba" --scan
    "C:\Users\ruta\al\archivo.zip"

    OWASP FOUNDATION owasp.org 32


    Bibliografía adicional
    Información adicional
    • ¿Te interesa proponer un OWASP Project?. https://owasp.org/www-pdf-
    archive/PROJECT_LEADER-HANDBOOK_2014.pdf
    • Penetration Testing Framwork.
    http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html
    • Glosario de NIST. https://csrc.nist.gov/glossary
    • Engineering Trustworthy Secure Systems.
    https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v1r1.pdf
    • Penetrarion Testing Execution Standard. Technical Guides. http://www.pentest-
    standard.org/index.php/PTES_Technical_Guidelines
    • 2023 CWE Top 25 de Debilidades de software más peligrosas.
    https://cwe.mitre.org/top25/archive/2023/2023_top25_list.html

    OWASP FOUNDATION owasp.org 33


    Agradecimientos

    Muchas gracias por su


    atención.

    ¿Alguna pregunta?

    OWASP FOUNDATION owasp.org 34


    TM

    También podría gustarte